Лабораторная работа №1. ЗАЩИТА ДАННЫХ СЕГМЕНТА АСУ ТП

Дисциплина: Кибербезопасность предприятия

Астраханцева Анастасия

Ганина Таисия

Ибатулина Дарья

Шошина Евгения

Кадирова Мехрубон

Хассан Факи Абакар

Группа НФИбд-01-22

Российский университет дружбы народов, Москва, Россия

30 сентября 2025

Вводная часть

Цели и задачи

Целью лабораторной работы является изучение методов обнаружения, анализа и устранения последствий компьютерных атак в сегменте автоматизированных систем управления технологическим процессом (АСУ ТП) на базе программного комплекса “Ampire”. Работа направлена на формирование навыков защиты данных от внешних нарушителей, использующих уязвимости в программном обеспечении, и освоение инструментов мониторинга сетевой безопасности, таких как ViPNet IDS NS, ViPNet TIAS и Security Onion.

Задание

  1. Изучить типовые уязвимости, используемые при атаке на сегмент АСУ ТП.
  2. Проанализировать последовательность действий нарушителя на каждом этапе атаки.
  3. Освоить методы детектирования атак с использованием средств мониторинга и анализа безопасности.
  4. Выполнить мероприятия по устранению последствий атаки.
  5. Отработать навыки анализа сетевых соединений и процессов с помощью стандартных утилит.

Заполнение карточек инцидентов

Для обнаружения и анализа атак использовались средства ViPNet IDS NS. Были зафиксированы следующие ключевые инциденты, соответствующие этапам атаки

Получение доступа через уязвимый Apache Axis 2

AM EXPLOIT Generic Command Injection in HTTP URI

AM POLICY Apache Axis2 v1.6 Default Admin Credential

ET TROJAN Possible Metasploit Payload Common Construct Bind_API

Уязвимая версия IGSS AM Exploit 7T Interactive Graphical SCADA Buffer Overflow

Устранение первой уязвимости и последствия (Axis2, App backdoor)

Процесс аутентификации на целевом хосте

Процесс аутентификации

Для блокировки доступа к конфигурационному файлу axis2.xml и предотвращения эксплуатации уязвимости CVE-2010-0219 в межсетевой экран iptables было добавлено специальное правило

Добавление правила в iptables для блокировки доступа к axis2.xml

Устранена уязвимость Axis2

Устранена уязвимость Axis2

Для полной проверки с помощью утилиты ss было выявлено установленное соединение с IP-адресом злоумышленника 195.239.174.11 на порт 7777, связанное с процессом evil.conf (PID 8367). Данное соединение является обратным shell-соединением (backdoor), установленным нарушителем, и подлежало немедленному завершению.

Процесс evil.conf

Переход к редактированию файла

Редактирование файла /var/spool/cron/crontabs/tomcat

Удалили строку

Удаление вредоносного файла и завершение процесса

Устранена первая уязвимость и её последствие

Была реализована блокировка сетевого трафика (в Manager Workstation) для уязвимой программы CoolReaderPDF, что является ключевой мерой по предотвращению дальнейшего распространения вредоносного кода и установления обратных соединений с машиной злоумышленника

Этап создания нового правила брандмауэра

Окно настройки создаваемого правила

Проверка в «Мониторе брандмауэра Защитника Windows»

После открытия командной строки была выполнена команда netstat -bno, которая выводит список всех TCP-соединений вместе с именами процессов и их PID. Для устранения угрозы была выполнена команда: taskkill /f /pid 5348. Эта команда принудительно (/f) завершает процесс с идентификатором 5348.

taskkill /f /pid 5348

Полностью устранена вторая уязвимость и её последствия

Для проведения работ по защите SCADA-сервера необходимо было получить удалённый доступ к нему. Для этого был использован менеджер паролей KeePass.

Удаленный доступ к SCADA-сервер

Далее был запущен “Windows security center”: в меню “Пуск” - “Accessories” - “System Tools” - “Security center”.

“Пуск” - “Accessories” - “System Tools” - “Security center”

Брандмауэр

На вкладке “Исключения” брандмауэра виден список правил, для которых мы убрали из исключений IGSS Dataserver. Эти правила были использованы злоумышленником для эксплуатации уязвимости.

Убрали из исключений IGSS Dataserver

Команда netstat -bno (рис. @fig:030) выявила установленное TCP-соединение между SCADA-сервером (10.10.3.10:1163) и IP-адресом злоумышленника (195.239.174.11:28002). Процесс, ответственный за соединение, — IGSSdataServer.exe (PID 2484).

TCP-соединение

Полностью устранена третья уязвимость и её последствия

Полностью устранена третья уязвимость и её последствия

Результаты

В ходе выполнения лабораторной работы был успешно отработан сценарий комплексной кибератаки на сегмент АСУ ТП и проведены мероприятия по её обнаружению и нейтрализации.